KFW防火墙技术白皮书v2-0.docVIP

KKILL防火墙 KFW V2.0 产品技术白皮书 北京冠群金辰软件有限公司 目 录 一 概述 3 二 产品特性 3 三 产品功能 4 四 产品性能指标 7 4.1 百兆防火墙系列 7 4.2 千兆防火墙系列 7 概述 KILL防火墙V2.0是北京冠群金辰公司最新推出的高安全性硬件防火墙产品，它采用高性能硬件平台，加固了操作系统内核、优化了网络协议分析和处理性能。此外，还提供状态检测包过滤应用代理、动态路由、入侵检测防护、IPSec VPN、SSL VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等功能。广泛应用于政府、等行业的网络环境。防火墙系统有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷，综合了防火墙、VPN和IDS等多种功能，具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能，同时具备广泛的适应能力。 高性能 KILL防火墙型号涵盖高中低端各种性能的产品，可满足不同规模用户的需要，最高级别的设备可达到接近万兆处理性能。KILL防火墙产品方面具备先进成熟的技术，同等硬件平台上其性能高于同类产品。 灵活的部署方式 KILL防火墙可部署在企业网络边界和内部网段。提供强大的NAT/反向NAT、PAT等功能，可配置为路由模式、混合模式、透明模式等多种方式，适应大多数网络结构与应用需求。 全面的适应能力 KILL防火墙提供对OSPF等动态路由协议的支持、提供ARP代理功能、DNS代理、动态DNS、DHCP、DHCP中继、组播穿越、FTP代理等功能，对于复杂的网络结构，特殊的应用服务需求等，提供了全面的支持。 完善的审计日志 KILL防火墙提供强大的日志审计功能，包括管理日志、转发日志、NAT日志、用户日志、安全日志、WEB过滤日志、抗攻击日志等多达7种与企业网络安全相关的日志审计记录，同时，通过专用日志汇总系统，可以向管理员提供多种丰富的汇总报告。 产品功能 功能 描述 网络适应能力 支持透明（桥）模式 支持路由模式 支持混合模式 支持PPPOE协议，提供ADSL接入方式 支持NAT(网络地址翻译） 支持VLAN Trunk环境 支持策略路由,可按源地址、目地地址、协议、优先级、下一跳地址等多元素灵活配置策略路由 支持多链路动态复杂均衡 支持动态路由OSPF 提供DNS代理、动态DNS、DHCP Server、DHCP Rrelay、组播穿越、ARP代理、FTP代理及自定义代理等功能 安全防御能力 基于状态检测的动态智能包过滤、支持特定协议、特定协议组的转发规则、支持根据特定时间限制转发规则 支持管理中心集中发放策略 实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间、网段、MAC地址等数据包快速过滤 支持报文合法性检查 支持DNS、FINGER、FTP、GOPHER、H323、HTTP、HTTPS、ICMP、IGMP、IRC、LotusNotes、NETBIOS、NFS、NNTP、POP3、QUAKE、RADIUS、RAUDIO、RemoteDesk、RLOGIN、RTSP、SMTP、SNMP、SYSLOG、TELNET、TFTP、VDOLIVE、WAIS、X-WINDOWS等协议 支持100bao、AppleJuice、Ares、BT、eDonkey、Gnutella、KuGoo、MSN、POCO、QQ、SoulSeek、WoW、Xunlei、YAHOO等应用层协议 支持自定义协议 支持IP/MAC绑定。支持IP/MAC自动探测 网络层抗攻击：Ping of Death、TearDrop、Smurf、Ping Flood、 Jolt2 传输层抗攻击：Land、ACK Flood、SYN Flood、TCP连接耗尽、UDP Flood 检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵 检测试图穿透防火墙系统的木马控制端和客户端程序；检测试图穿透防火墙系统的蠕虫程序，比如红色代码等蠕虫程序 检测包括针对Unicode、ASP源码泄漏、PHF、NPH、pfdisplay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式 专用抗DOS、DDOS攻击引擎 提供全面的内外网连接实时监控能力 NAT 源地址转换（多对一/SNAT） 目的地址转换（一对一/DNAT） 目的端口转换（一对多/PAT） 地址池（多对多/IP POOL） 动态端口支持协议：FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP 路由 可根据源地址、目地地址、协议类型、优先级、下